Backup Exec サービスアカウント (BESA) に必要なユーザー権限/パーミッションを定義/付与する方法

問題

図 1 のように、バックアップ選択項目で、［すべてのリソース］の下に使用可能な選択項目が表示されない。

図 1:

エラーメッセージ

Windows 2008 サーバーでバックアップジョブを編集/作成しているとき、「サーバー接続に失敗しました。<F5> を押して再試行してください」が表示されます。

原因

[ A ] Backup Exec システムログオンアカウント (［ネットワーク］>［ログオン情報］) または Backup Exec サービスアカウント (BESA) に設定されているパスワードが、Active Directory で設定されているパスワードと一致していない。

[ B ] BESA に［バッチジョブとしてログオン］の権限がない。

このポリシーはデフォルトで Administrators グループと Backup Operators グループに適用されます。このユーザー権限は、デフォルトのドメインコントローラのグループポリシーオブジェクト (GPO)、およびワークステーションとサーバーのローカルセキュリティポリシーで定義されます。ユーザーがバッチキュー機能を通してログオンすることを許可します。

このユーザー権限について詳しくは、 
http://technet.microsoft.com/ja-jp/library/cc780182%28WS.10%29.aspx を参照してください。

[ C ] BESA が［バッチジョブとしてログオンを拒否する］ポリシーに含まれてる。

［バッチジョブとしてログオンを拒否する］によって、［バッチジョブとしてログオン］が許可されないアカウントが決まります。ユーザーアカウントに両方のポリシーが適用されている場合、このポリシー設定が［バッチジョブとしてログオン］設定より優先されます。

解決方法

[ A ] Backup Exec システムログオンアカウント (［ネットワーク］>［ログオン情報］) または Backup Exec サービスアカウント (［ツール］>［Backup Exec サービス］>［サービスクレデンシャル］) をリセットし、Active Directory で設定されているパスワードと一致するようにします。

• オペレーティングシステムの一部として動作する   [TcbPrivilage とも呼ばれます]
• ファイルおよびディレクトリをバックアップする (ファイルとディレクトリをバックアップする権限) [BackupPrivilege とも呼ばれます]
• トークンオブジェクトを作成する (これは任意のローカルリソースへのアクセス時に使用できます)    [TokenRightPrivilege とも呼ばれます]
• バッチジョブとしてログオンする (バッチキュー機能を通してログオンする権限)  [BatchLogonRight とも呼ばれます]
• サービスとしてログオンする  [ ServiceLogonRight とも呼ばれます]
• 監査ログとセキュリティログを管理する [AuditPrivilege とも呼ばれます]
• ファイルおよびディレクトリをリストアする (ファイルとディレクトリをリストアする権限) [RestorePrivilege とも呼ばれます]
• ファイルおよびその他のオブジェクトの所有権を得る [TakeOwnershipPrivilege とも呼ばれます]

 

Windows Server 2003 の場合:

1. ドメインコントローラで、［スタート］、［プログラム］、［管理ツール］、［Active Directory ユーザーとコンピュータ］の順にクリックします。

2. 左ペインで、ドメイン名を展開し、［Domain Controllers］組織単位を右クリックして、［プロパティ］を選択します。

3. ［グループポリシー］タブを選択します。

4. ［Default Domain Controllers Policy］を選択し、［編集］をクリックします (図 2)。

図 2


5. 左ペインで、［コンピュータの構成］を展開し、［ポリシー］、［Windows の設定］、［セキュリティの設定］、［ローカルポリシー］、［ユーザー権利の割り当て］の順にクリックします。


Windows Server 2008 の場合:

1. ［スタート］、［プログラム］、［管理ツール］、［グループポリシー管理］の順にクリックします。

2. 左ペインで、［ドメイン］、［Domain_Name］、［グループポリシーオブジェクト］の順に展開します。

3. ［Default Domain Controllers Policy］を右クリックし、［編集］をクリックします

4. 左ペインで、［コンピュータの構成］を展開し、［ポリシー］、［Windows の設定］、［セキュリティの設定］、［ローカルポリシー］、［ユーザー権利の割り当て］の順にクリックします。



必要なユーザー権限の定義:

1. 右ペインで、［オペレーティングシステムの一部として機能］をダブルクリックします。

2. ［追加］をクリックします。

3. ユーザー名とグループ名を指定するため、［参照］をクリックします。

4. 新しいユーザーアカウントを選択し、［追加］をクリックして、［OK］をクリックします (図 3)。

図 3


5. ［OK］を 2 回クリックします。

6. 残りのポリシーに対し、手順 1 から 5 を繰り返し実行します。
 

[ C ] BESA が［バッチジョブとしてログオンを拒否する］または［サービスとしてログオンを拒否する］に含まれていないことを確認します。これは、拒否する設定が許可する設定より優先されるため、アカウントを［バッチジョブとしてログオン］または［サービスとしてログオン］に追加しても、アカウントが拒否されるようになるためです (図 4)。

図 4


 

グループポリシーの更新

［スタート］>［ファイル名を指定して実行］をクリックし、「gpupdate /force」と入力します ( これにより、グループポリシーが強制的に更新されます)。

[ D ] BESA にすべての必要な権限が含まれていることを確認します。

1. ［ネットワーク］>［ログオン情報］をクリックし、表示される Backup Exec サービスアカウント (BESA ) の権限を確認します。 このアカウントが、Admins 内に作成されたローカル Administrators グループ (該当する場合) および Domain Admins グループのメンバーであることを確認します。 完全な管理者権限を持たないグループからこのアカウントを削除します。

2. 上記の手順を実行しても問題が解決されない場合は、Active Directory 内に新しいユーザーアカウントを悪性し、次のグループに追加します。

• Domain Admins (プライマリグループ)
• ローカル Admins または Administrators
• Domain Users をリストから削除

次に、この新しいアカウントを Backup Exec サービスに使用し、［ネットワーク］>［ログオン情報］の下に追加して、デフォルトのアカウントとして設定します。

注意: この操作は、Windows Server 2008 (ドメインコントローラとメンバーサーバー) にも実行します。
 

[ E ] すべての Backup Exec サービスが起動していることを確認します